Безопасность АСУ ТП – применение специализированных СЗИ

17 апреля 2013
7

Сталкиваясь с многочисленными инцидентами в секторе промышленности, ненароком актуален вопрос применения специализированных и профильных СЗИ. В настоящее время, отсутствуют какие-либо специальные требования к самим СЗИ, которые допустимы для использования в АСУ ТП, считается, что в зависимости от характера ресурса, к его защите могут применены общедоступные СЗИ, либо дополнительные меры режимного характера, если речь идет о КСИИ и документах ФСТЭК РФ.

Тем не менее, регуляторы активно ведут диалог касательно данной проблемы и усиливают свое внимание в отношении обеспечения информационной безопасности КВО, в состав которых входят АСУ ТП. Мнение отдельных экспертов заключается в том, что «в настоящий момент настало время заниматься разработкой специализированных СЗИ для защиты АСУ ТП от угроз информационной безопасности, так как штатными средствами защитить подобные системы нельзя, могут произойти сбои, аварии, их доступность может быть нарушена», иные же – наоборот говорят о том, что вопрос решается архитектурными (изолирование от доступа к Интернет), режимно-организационными мерами, что напрочь решает проблему отсутствия каких-либо специальных средств защиты. 

О каких специализированных СЗИ для АСУ ТП можно говорить? Речь в первую очередь идет о следующих категориях специализированных СЗИ, которые совсем недавно возникли на свет:

 

  • МСЭ, поддерживающие промышленные протоколы передачи данных (Tofino Industrial Firewall LSM, SingleKey™ SCADA Firewall, CISCO ASA с набором Cisco IPS SCADA signatures);
  • СОВ, поддерживающие промышленные протоколы передачи данных, и векторы атак, направленные на эксплуатацию уязвимостей в системах SCADA и элементах телеметрической подсистемы (CISCO IPS с набором Cisco IPS SCADA signatures, Quickdraw SCADA IDS, Wurldtech's Achilles Threat Intelligence Software);
  • СЗИ от НСД, поддерживающие работы на СРВ.

 

Многое из перечисленного уже имеет широкое распространение зарубежом (США, Канада – в большой степени, по причине наличия требований NERC/FERC), особенно в секторе нефтетранспортировки и энергетики. В качестве ведущих игроков рынка подобных СЗИ, следует выделить компании Industrial Defender, TOFINO и многие другие, с которыми пока не сталкивался отечественный рынок очень плотно.

При детальном рассмотрении, каждое второе из них содержит сигнатурные модули, позволяющие распознавать аномалии в промышленных протоколов, характеризующих возможный сбой, либо неполадку, а так же ряд известных векторов атак, которые можно выделять из сетевого трафика, включая распространение вредоносного кода.

Отдельные более узнаваемые вендоры, например, Siemens, имеют отдельные дополнения к своей продукции, повышающие ее защищенность. На сайте раздела автоматизации Siemens появился один из немногих практически значимых материалов по обеспечению ИБ АСУ ТП в части организации защищенного информационного обмена данными.

http://cache.automation.siemens.com/24960449_S612_RemoteAccess_UMTS_DOKU_V3_en.pdf

http://cache.automation.siemens.com/24960449_SSC_RemoteAccess_UMTS_DOKU_V1_en.pdf

Предложенный технический подход рассказывает о применении VPN-туннеля с поддержкой шифрования в отношении разнесенных устройств, включая PLC, и станций с использованием Softnet Security client .

Тем не менее, рынок специализированных СЗИ под АСУ ТП еще только создается и пока он находится в стадии зарождения, хотя содержит в себе много перспектив.

На данный момент наблюдается тренд смещения антивирусных вендоров в сторону поддержки работы в окружении АСУ ТП, тем не менее покрытие одного лишь антивирусного средства не сильно повлияет на защищенность технологических сетей в целом, скорее, это удачная маркетинговая находка с учетом минувших громких инцидентов, связанных с вредоносным кодом класса Stuxnet и DUQU.

Насколько Вам видится актуальным вопрос использования специализированных СЗИ для АСУ ТП? Видите ли Вы их применения в своей практике в отечественном разрезе действительности? Видите ли Вы необходимость использования принципиально иных СЗИ для защиты технологических сетей, которых сейчас нет на рынке? Какие принципиальные требования к ним Вы могли бы формализовать? 

7874
Поделиться
Коментарии: 7

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Михаил Петров
    Рейтинг: 264
    Счетная палата Российской Федерации
    Директор департамента цифровой трансформации
    19.04.2013 21:07

    Добрый вечер! Есть вопрос. технологических сетей, которых сейчас нет на рынке - что имеется ввиду? По теме - именно с защитой АСУ ТП не сталкивался. Поэтому задам еще вопрос на понимание. В чем принципиальная особенность защиты АСУ ТП по сравнению с защитой других систем? Спасибо за материалы - положу в копилку знаний.

    • Михаил
      22.04.2013 21:01

      Михаил, добрый вечер! Касательно технологических сетей - термин уже устоявшийся, так говорят, когда подразумевают, что в составе сетевой инфраструктуры используются промышленные протоколы передачи данных (MODBUS, DNP3 и др.) и сетевые узлы, являющиеся элементами АСУ ТП (телеметрия, промышленные контроллеры, SCADA, ПАЗ и так далее). Касательно принципиальных отличий, имеются они (личной на мой взгляд) исключительно в части защиты систем реального времени, когда доступность и непрерывность функционирующих процессов является приоритетной, а срок их выполнения - фиксирован. Примерами таких СРВ являются процессы, протекающие на АСУ атомных станций, военной и робототехнике, отдельные КВО. Ко всем остальным видам АСУ ТП, которые не используют системы реального времени, могут быть применены традиционные СЗИ, в том числе направленные на защиту периметра и мониторинг сетевой инфраструктуры - лично мое мнение, другой вопрос, что такие инфраструктуры требуют уточненной частной модели угроз по причине использования промышленных протоколов и разнородных каналов связи (беспроводные, проводные), часто их элементы географически разнесены, что требует повышенного внимания к их защите, в том числе физического периметра. С уважением, А.Комаров.

      • Михаил Петров
        Рейтинг: 264
        Счетная палата Российской Федерации
        Директор департамента цифровой трансформации
        22.04.2013 21:14

        Андрей, добрый вечер! Спасибо за пояснения! Про технологические сети - вопрос относился к которых сейчас нет на рынке.

        • Александр Меньшиков Михаил
          Рейтинг: 10
          Трубная металлургическая компания (ТМК)
          Начальник отдела проектирования бизнес-процессов
          29.04.2013 10:53

          Добрый день, Михаил. Вопрос в конце статьи сформулирован не очень удачно. Как я думаю, автор имел в виду не сети, а "принципиально иные СЗИ, которых сейчас нет на рынке, и которые нужны для защиты технологических сетей".

          • Михаил Петров Александр
            Рейтинг: 264
            Счетная палата Российской Федерации
            Директор департамента цифровой трансформации
            29.04.2013 16:08

            Добрый день Александр. Да, с таким акцентом - понятнее :)

  • Виктор Федько
    Рейтинг: 299
    АО МПО им.И.Румянцева
    Зам. начальника управления информационных технологий
    25.04.2013 14:37

    Я бы сюда добавил еще актуальность защиты не только технологических сетей, но и , например, СЗ управляющих программ для станков с ЧПУ. Это прикладное ПО сейчас начинает представлять собой все больше и больше объект для атак с целью похищения. Их стоимость довольно высока.

  • Денис Борисов
    Рейтинг: 10
    АО "Гринатом"
    Директор филиала
    08.05.2013 03:36

    Этот вопрос можно попробовать разложить на две составляющих: 1. Сама АСУТП (система реального времени например QNX) - защита пробдематична. 2. Отображение данных АСУТП через публикацию в терминальном режиме. В данном случае мы оставим в покое сегмент с АСУТП и защищаем известными методами терминальный сервер. При этом само сабой сокращаем затраты на защиту рабочих станций.

Предметная область
Отрасль
Управление